Kehittäjillä ja IT-järjestelmänvalvojilla on epäilemättä tarve asentaa joitain verkkosivustoja HTTPS: n kautta SSL-varmenteita käyttäen. Vaikka tämä prosessi on melko yksinkertainen tuotantosivustolle, kehitystyötä ja testausta varten saatat joutua käyttämään SSL-varmentetta myös täällä.
Vaihtoehtona vuosittaisen varmenteen ostamiselle ja uusimiselle voit hyödyntää Windows Server -palvelimesi kykyä luoda itse allekirjoitettu varmenne, joka on kätevä, helppo ja jonka pitäisi vastata täydellisesti tämäntyyppisiä tarpeita.
Itse allekirjoitetun varmenteen luominen IIS: ssä
Vaikka itse allekirjoitetun varmenteen luomiseen on useita tapoja, käytämme Microsoftin SelfSSL-apuohjelmaa. Valitettavasti tämä ei toimiteta IIS: n mukana, mutta se on vapaasti saatavilla osana IIS 6.0 -resurssityökalua (linkki tämän artikkelin lopussa). Nimestä ”IIS 6.0” huolimatta tämä apuohjelma toimii hienosti IIS 7: ssä.
Tarvitaan vain pura IIS6RT, jotta saat itsssl.exe-apuohjelman. Sieltä voit kopioida sen Windows-hakemistoon tai verkkopolkuun / USB-asemaan tulevaa käyttöä varten toisella koneella (joten sinun ei tarvitse ladata ja purkaa koko IIS6RT-tiedostoa).
Kun SelfSSL-apuohjelma on paikallaan, suorita seuraava komento (järjestelmänvalvojana) korvaamalla <> -arvot tarvittaessa:
selfssl / N: CN = <verkkotunnuksesi.com> / V: <kelvollisten päivien määrä>
Alla oleva esimerkki tuottaa itse allekirjoitetun jokerimerkkisertifikaatin verkkotunnukselle "mydomain.com" ja asettaa sen voimassaolevaksi 9999 päiväksi. Lisäksi vastaamalla kyllä kehotteeseen, tämä varmenne määritetään automaattisesti sitomaan porttiin 443 IIS: n oletussivuston sisällä.
Vaikka sertifikaatti on tässä vaiheessa käyttövalmis, se tallennetaan vain palvelimen henkilökohtaiseen varmentesäilöön. On suositeltavaa, että tämä varmenne asetetaan myös luotettuun juuriin.
Valitse Käynnistä> Suorita (tai Windows Key + R) ja kirjoita ”mmc”. Saatat saada UAC-kehotteen, hyväksyä se ja tyhjä hallintakonsoli avautuu.
Siirry konsolissa kohtaan Tiedosto> Lisää / poista laajennus.
Lisää varmenteet vasemmalta puolelta.
Valitse Tietokonetili.
Valitse Paikallinen tietokone.
Napsauta OK nähdäksesi paikallisen varmenteen myymälän.
Siirry kohtaan Henkilökohtainen> Sertifikaatit ja etsi itse määrittelemäsi varmenne SelfSSL-apuohjelman avulla. Napsauta hiiren kakkospainikkeella varmentetta ja valitse Kopioi.
Siirry kohtaan Luotetut juurivarmentajat> Sertifikaatit. Napsauta hiiren kakkospainikkeella Certificates-kansiota ja valitse Liitä.
SSL-varmenteen tulee näkyä luettelossa.
Tässä vaiheessa palvelimellasi ei pitäisi olla ongelmia työskennellä itse allekirjoitetun varmenteen kanssa.
Varmenteen vienti
Jos aiot käyttää sivustoa, joka käyttää itse allekirjoitettua SSL-varmentetta missä tahansa asiakaskoneessa (ts. Tietokoneessa, joka ei ole palvelin), varmentevirheiden ja varoitusten mahdollisen hyökkäyksen välttämiseksi itse allekirjoitettu varmenne on asennettava jokaisella asiakaslaitteella (josta keskustelemme yksityiskohtaisesti jäljempänä). Tätä varten meidän on ensin vietävä vastaava varmenne, jotta se voidaan asentaa asiakkaille.
Siirry konsolin sisällä kohtaan Varmenteiden hallinta ladattuna kohtaan Luotetut juurivarmentajat> Sertifikaatit. Etsi varmenne, napsauta hiiren kakkospainikkeella ja valitse Kaikki tehtävät> Vie.
Kun sinua kehotetaan viemään yksityinen avain, valitse Kyllä. Napsauta Seuraava.
Jätä tiedostomuodon oletusvalinnat ja napsauta Seuraava.
Kirjoita salasana. Tätä käytetään varmenteen suojaamiseen, ja käyttäjät eivät voi tuoda sitä paikallisesti antamatta tätä salasanaa.
Anna sijainti varmentetiedoston viemiseksi. Se on PFX-muodossa.
Vahvista asetukset ja napsauta Valmis.
Tuloksena oleva PFX-tiedosto asennetaan asiakaskoneillesi kertomaan heille, että itse allekirjoittamasi varmenne on luotetusta lähteestä.
Käyttöönotto asiakaskoneisiin
Kun olet luonut varmenteen palvelinpuolella ja kaikki on toiminut, saatat huomata, että kun asiakaslaite muodostaa yhteyden kyseiseen URL-osoitteeseen, varmenteen varoitus tulee näkyviin. Tämä johtuu siitä, että varmenteen myöntäjä (palvelimesi) ei ole luotettava lähde asiakkaan SSL-varmenteille.
Voit napsauttaa varoituksia ja käyttää sivustoa, mutta saatat saada toistuvia ilmoituksia korostetun URL-palkin tai toistuvien varmenteiden muodossa. Tämän ärsytyksen välttämiseksi sinun on yksinkertaisesti asennettava mukautettu SSL-suojaustodistus asiakaskoneeseen.
Tämä prosessi voi vaihdella käyttämästäsi selaimesta riippuen. IE ja Chrome lukevat molemmat Windows-varmentekaupasta, mutta Firefoxilla on mukautettu tapa käsitellä suojausvarmenteita.
Tärkeä muistiinpano: Sinun pitäisi ei koskaan asenna suojaustodistus tuntemattomasta lähteestä. Käytännössä sinun tulisi asentaa varmenne paikallisesti vain, jos olet luonut sen. Mikään laillinen verkkosivusto ei vaadi sinua suorittamaan näitä vaiheita.
Internet Explorer ja Google Chrome - varmenteen asentaminen paikallisesti
Huomaa: Vaikka Firefox ei käytä Windowsin natiivivarmentesäilöä, tämä on kuitenkin suositeltava vaihe.
Kopioi palvelimelta viety varmenne (PFX-tiedosto) asiakaskoneeseen tai varmista, että se on käytettävissä verkkopolulla.
Avaa asiakaskoneen paikallinen varmentesäilön hallinta samalla tavalla kuin yllä. Lopulta päädyt alla olevalle näytölle.
Laajenna vasemmalla puolella Sertifikaatit> Luotetut juurivarmentajat. Napsauta hiiren kakkospainikkeella Varmenteet-kansiota ja valitse Kaikki tehtävät> Tuo.
Valitse varmenne, joka on kopioitu paikallisesti koneellesi.
Anna suojaussalasana, joka määritettiin, kun varmenne vietiin palvelimelta.
Kauppa "Trusted Root Certification Authorities" tulee täyttää määränpäänä. Napsauta Seuraava.
Tarkista asetukset ja napsauta Valmis.
Sinun pitäisi nähdä menestysviesti.
Päivitä näkymä Luotetut juurivarmentajat> Sertifikaatit -kansiosta, ja sinun pitäisi nähdä palvelimen itse allekirjoittama varmenne luettelossa kaupassa.
Kun tämä on tehty, sinun pitäisi pystyä selaamaan HTTPS-sivustoon, joka käyttää näitä varmenteita eikä saa varoituksia tai kehotteita.
Firefox - sallii poikkeuksia
Firefox käsittelee tätä prosessia hieman eri tavalla, koska se ei lue varmentetietoja Windows-kaupasta. Sertifikaattien (sinänsä) asentamisen sijaan voit määrittää poikkeuksia SSL-varmenteille tietyille sivustoille.
Kun vierailet sivustossa, jossa on varmentevirhe, saat alla olevan kaltaisen varoituksen. Sininen alue nimeää URL-osoitteen, jota yrität käyttää. Luo poikkeus ohittaaksesi tämän varoituksen kyseisessä URL-osoitteessa napsauttamalla Lisää poikkeus -painiketta.
Määritä poikkeus paikallisesti napsauttamalla Lisää suojauspoikkeus -valintaikkunassa Vahvista suojauspoikkeus.
Huomaa, että jos tietty sivusto ohjaa aliverkkotunnuksiin itsestään, saatat saada useita suojausvaroituskehotteita (URL-osoite on joka kerta hieman erilainen). Lisää poikkeuksia kyseisille URL-osoitteille samalla tavalla kuin yllä.
Johtopäätös
On syytä toistaa yllä oleva huomautus, että sinun pitäisi ei koskaan asenna suojaustodistus tuntemattomasta lähteestä. Käytännössä sinun tulisi asentaa varmenne paikallisesti vain, jos olet luonut sen. Mikään laillinen verkkosivusto ei vaadi sinua suorittamaan näitä vaiheita.
Linkit
Lataa IIS 6.0 Resource Toolkit (sisältää SelfSSL-apuohjelman) Microsoftilta
